Auf den Punkt: Eine als Cordyceps bezeichnete kritische CI/CD-Schwachstelle ermöglicht Angreifern die volle Kontrolle über Repositories und Supply-Chain-Kompromittierung bei Hunderten Open-Source-Projekten.
Sicherheitsforscher von Novee Security haben eine kritische Klasse von Schwachstellen in CI/CD-Workflows identifiziert, die Angreifer zur Übernahme von Workflows und zum Zugriff auf Open-Source-Lieferketten nutzen können. Die Schwachstelle betrifft über 300 GitHub-Repositories großer Organisationen wie Microsoft, Google und Apache.
Forscher von Novee Security haben eine neue Kategorie von Schwachstellen in CI/CD-Workflows dokumentiert, die als „kritisch exploitierbar” eingestuft wird. Die Schwachstelle mit dem Codenamen Cordyceps erlaubt es Angreifern, bestehende Workflows zu manipulieren und damit vollständige Kontrolle über Git-Repositories zu erlangen.
Die Forschung zeigt, dass über 300 GitHub-Repositories von großen Organisationen weltweit von dieser Schwachstellenklasse betroffen sind, darunter Unternehmen wie Microsoft, Google und Apache. Das Angriffsmuster ermöglicht Supply-Chain-Attacken auf offene Quellprojekte, die als Abhängigkeiten in Millionen weiterer Systeme integriert sind.
Für CISOs bedeutet dies ein erhöhtes Risiko bei der Verwaltung von Open-Source-Abhängigkeiten und internen CI/CD-Infrastrukturen. Die Kontrolle über Build- und Deployment-Pipelines ist ein kritischer Angriffsvektor, über den Malware oder kompromittierte Code in die gesamte Lieferkette eindringen kann. Eine umfassende Überprüfung von Workflow-Konfigurationen, Berechtigungsmodellen und Secrets-Management in GitHubund vergleichbaren Plattformen ist angeraten.
Quelle: thehackernews.com · Erschienen 24. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.